独立行政法人情報処理推進機構(IPA)は3月31日、「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開した。ロシアのウクライナ侵攻以降、企業や組織を狙うサイバー攻撃はさらに増しているとされ、2月末にはトヨタ自動車のサプライヤー企業がサイバー攻撃を受け、トヨタ自動車の国内工場が稼働停止をした。サプライチェーンを構成する中小企業などの取引先を経由して目的企業を攻撃する事例も報じられるなど、セキュリティ対策は企業単体の問題ではなくなっている。
同調査はロシアのウクライナ侵攻前の2021年10-12月に行い、有効回答数は4074人だった。
情報セキュリティ対策を行わない理由は「必要性を感じていない」が最も多く
過去3期における「セキュリティ対策投資を行っていない」と回答した企業は33.1%と全体の3割を占めた。その理由として「必要性を感じていない」の割合が40.5%でトップ、次いで「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」と続いた。「どう始めたらよいか分からない」という企業も一定数いた。別の設問「20年度の1年間で情報セキュリティ被害あったか否か」では、84.3%が「被害にあっていない」と回答。サイバー攻撃という目に見えない脅威に対して、被害に遭う機会が少なく、自分事として捉えてきれていない現状が浮き彫りになった。
全体の84.3%が「情報セキュリティ被害被害にあっていない」と回答した一方、「コンピュータウイルスに感染」が2.7%で「被害にあった」と回答した中でトップだった。ウイルスの想定される侵入経路は「電子メール」が最も高く62.2%。次いで「インターネット接続(ホームページ閲覧など)(45.9%)」、「自らダウンロードしたファイル(23.4%)」と続いた。
取引先からの情報セキュリティに関する義務・要請がある企業は3割弱にとどまる
取引先からの情報セキュリティに関する条項・取引上の要請の有無については、63.2%の企業が「義務・要請はない」と回答。「義務・要請がある」企業は26.1%で、販売先(発注元企業)からの契約時の要請としては「秘密保持」の割合が最も高く93.8%で、「契約終了後の情報資産の扱い(返却、消去、廃棄等)(36.3%)」、「情報セキュリティに関する契約内容に違反した場合の措置(32.4%)」が続いた。
「契約時における情報セキュリティに関する要請(販売先(発注元企業)との契約時)」(右) 出典:IPA
同調査では、回答企業の約8割が情報セキュリティ被害にあっておらず、取引先からの情報セキュリティに関する取引上の義務・要請があると回答した企業は3割弱に留まっている。ロシアのウクライナ侵攻以降、企業のセキュリティ対策は今まで以上に求めらており、サプラチェーンを構成する取引先からの要請も増えることが予想される。デジタル化が進み、あらゆるモノがつながる世界では事業継続計画(BCP)の観点からも情報セキュリティ対策がさらに重要となっていくだろう。
